LINUX.ORG.RU

Обнаружена скрытая загрузка проприетарного блоба браузером Chromium

 ,


8

5

Один из пользователей Debian установил Chromium 43 и обнаружил, что при первом запуске браузер, не уведомляя пользователя, молча загружает и устанавливает расширение «Chrome Hotword Shared Module». Указанное расширение содержит внутри себя блоб (бинарный компонент), исходники которого не предоставляются. При этом, расширение даже не отображается в списке установленных расширений и не предоставляет возможности себя отключить.

Блоб называется «hotword-x86-64.nexe»:

$ chromium --temp-profile &
$ find /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword.data
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
$ file /tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=24d25d55886dca48921031d6928b0a34f5659830, stripped

Этот компонент реализует систему голосового управления «OK, Google» и осуществляет постоянный захват звука с микрофона, ожидая произнесения ключевого слова.

Такое поведение браузера обеспокоило разработчиков Debian, поскольку скрытая загрузка проприетарного компонента грубо нарушает политику Debian, и пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета. Вдобавок постоянный перехват микрофона сторонним закрытым приложением вызывает понятного рода опасения.

Проблеме подвержены пакеты с Chromium 43 во всех дистрибутивах Linux. В Debian соответствующий пакет уже обновлён и загрузка модуля отключена. Для отключения дополнения рекомендуется удалить директорию

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

По словам разработчиков Chromium, указанное дополнение загружается лишь после включения пользователем голосового поиска в настройках браузера, а его отсутствие в списке установленных дополнений объясняется тем, что оно является «внутренним». Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами. В знак доброй воли разработчики уже добавили флаг, указание которого при сборке отключает загрузку этого дополнения.

Впрочем, существуют свидетельства того, что проприетарное дополнение автоматически устанавливается даже при отключённом голосовом поиске.

>>> Подробности

anonymous

Проверено: fallout4all ()

Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами.

Как раз патенты изначально придумывались для того, чтобы изобретатели раскрывали свои изобретения.

te111011010 ()

Мне вот интересно, неужели ещё остались люди, полагающие, что Гугл даёт им 10-гиговый почтовый ящик, 17-гиговое облако и голосовое управление исключительно из чистого альтруизма? Если вам дают бесплатное, то, скорее всего, товар - это вы.

Неужели кто-то всерьёз полагает, что безнаказанно имея возможность получать запись с микрофона непрерывно, Гугл не воспользуется этим? Вспомним их машинки Street View, которые несли на борту оборудование, составляющее карту Wi-Fi точек. И совершенно случайно это оборудование умело подключаться к незапароленным точкам и записывать траффик. И таки записывало. Объяснили технической ошибкой. Ну-ну

anonymous ()

Указанное расширение содержит внутри себя блоб (бинарный компонент)

Подозрительно.

Deathstalker ★★★★★ ()

пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета

можно подумать, что таки вещи можно вот так просто обнаружить

естественно, проще всего сбросить вину на мейнтейнера, ага

reprimand ★★★★★ ()
Ответ на: комментарий от reprimand

естественно, проще всего сбросить вину на мейнтейнера, ага

Не знаю уж как в Debian, но в абсолютном большинстве дистрибутивов перед сопровождающим не стоит задачи аудита кода и отслеживания всех изменений. А уж с проектами размером с chromium это вообще очень затруднительно.

dinn ★★★★★ ()
Ответ на: комментарий от dinn

аа, тогда понял :)

моего опыта как сопровождающего пакетов

уважаю

reprimand ★★★★★ ()

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Только у меня дежавю и воспоминания о следах в реестре всяких вирей?

ncrmnt ★★★★★ ()

> Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами

Недавно же была новость про «Опенсорсную разпознавалку голоса!!!», которая отправляет голос распознаваться на сервер Google. Зато опенсорсная. Можно и в Chromium так сделать!

ZenitharChampion ★★★★★ ()

Ой помню кто-то мне доказывал, что Chromium это версия Chrome без всякой проприетарщины и можно не опасаться, что за тобой следят. Где теперь эти наивные люди?

Folko85 ()

Так вот откуда экосистема такая странная у хромоподелок :}

Deleted ()

Если честно то это охрненеть. Больше даже не буду смотреть в сторону хрома. А то интересно получается, делаешь себе tor тот же самый, а оно один хрен уровнем выше следит за тобой, потенциально конечно.

Drolyk ★★★★ ()
Ответ на: комментарий от KRoN73

Ну судя по тому что он после установки засасывает болб, то таки да, махровая проприетарщина. У вас ведь нет сомнений в том что таже nvidia делает проприетарный драйвер?

Drolyk ★★★★ ()

Теги порадовали.

На самом деле, не ожидал такого от Chromium. От Google Chrome — да, но не от Chromium. Все больше портится отношение к нему.

Klymedy ★★★★★ ()

Слава BG, у меня IE.

anonymous ()
Ответ на: комментарий от Drolyk

Ну судя по тому что он после установки засасывает болб, то таки да, махровая проприетарщина

У Вас какие-то странные понятия о проприетарщине.

У вас ведь нет сомнений в том что таже nvidia делает проприетарный драйвер?

Конечно нет. Он же не опенсорсный.

KRoN73 ★★★★★ ()
Ответ на: комментарий от Drolyk

у nvidia всё по чесноку, блобы не прячут. худшее из зол что добром прикидывается.

anonymous ()
Ответ на: комментарий от I-Love-Microsoft

пользуюсь ff и абсолютно доволен

и абсолютно наивен

anonymous ()
Ответ на: комментарий от einhander

подразумевалось, хуже, обшибся

anonymous ()

Хейтеры говорят «открытый код не нужен, туда что-то внедрят и никто не заметит». Вот заметили же, и без мейтейнера даже. И анонимус новость написал. Сила сообщества, фигли :)

goingUp ★★★★★ ()

Меня новость не удивляет. А вот директория:

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Напоминает случайные комбинации названий файлов всякой вирусятины и прочего, что символизирует

sehellion ★★★★★ ()
Ответ на: комментарий от Klymedy

Тогда не знаю, я не такой продвинутый пользователь лора, только каменты писать могу

sehellion ★★★★★ ()

Ничего нового. Google - компания созданная для реализации идеи тотального контроля над обществом а Chromium один из его анальных зондов.

mongo ()

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Прекрасно, традиции названий папок и файлов троян-стайл должны жить вечно! «Гугль! Сохраним! Сбережем!»

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.